Siber güvenlik araştırmacıları, saldırganların kalıcılık oluşturmak, savunmalardan kaçmak ve sistem davranışını değiştirmek için Windows kayıt defterini nasıl manipüle ettiğini gösteren bir C ++ programı geliştirdiler.
Birçok siber saldırının merkezinde yer alan bu teknik, kayıt defterinin Windows’un yapılandırma veritabanı rolünü kullanır.
Program, kritik savunma sonuçlarını vurgularken, gerçek dünyadaki kötü amaçlı yazılımlar tarafından kullanılan taktikleri simüle ederek kayıt defteri anahtarlarını değiştirmek için Windows API işlevlerini kullanır.
.png
)
Windows Kayıt Defteri Bir Saldırı Vektörü Olarak
Windows Kayıt Defteri Sistemini, Uygulamasını ve Kullanıcı Ayarlarını Sakatçılar için birincil hedef haline getirir:
- Kalıcılık: Kötü amaçlı yazılım genellikle hkey_current_user \ Software \ microsoft \ windows \ currentVersion \ run veya hkey_local_machine eşdeğerleri gibi otomatik olarak başlama konumlarına girişler ekler.
- Kaçma: Güvenlikle ilgili anahtarları değiştirme (örneğin, HKLM \ Software \ Microsoft \ Windows Defender \ Features \ TamperProtection aracılığıyla HKLM \ Software \ Microsoft \ Windows Defender \ TamperProtection aracılığıyla Windows Defender Kurcalama Koruması’nı devre dışı bırakma.
- Ayrıcalık artışı: Servis anahtarlarındaki zayıf izinler (örneğin, ImagePath) saldırganların yürütmeleri yeniden yönlendirmesine izin verir.
C ++ uygulaması
Program, kayıt defteri anahtarlarını dinamik olarak oluşturmak veya değiştirmek için Windows API işlevlerini kullanır:
#include
#include
#include
void setRegistryValue(HKEY rootKey, const std::string& subKey,
const std::string& valueName, const std::string& data) {
HKEY key;
DWORD disposition;
// Create or open the key
LONG result = RegCreateKeyEx(rootKey, subKey.c_str(), 0, NULL,
REG_OPTION_NON_VOLATILE, KEY_SET_VALUE,
NULL, &key, &disposition);
if (result == ERROR_SUCCESS) {
// Set the value
result = RegSetValueEx(key, valueName.c_str(), 0, REG_SZ,
(const BYTE*)data.c_str(), data.size() + 1);
RegCloseKey(key);
}
}
int main() {
setRegistryValue(HKEY_CURRENT_USER, "Software\\MyApp",
"Persistence", "C:\\malware.exe");
return 0;
}
Anahtar Mekanik:
- RegcreateKeyex: Bir kayıt defteri anahtarı açar veya oluşturur (örn., HKCU \ Software \ MyApp).
- RegSetValueex: Anahtar için bir değer (örneğin, kötü amaçlı yazılım yolu) yazar.
- Gizli: Program, yasal yazılımı taklit ederek hata işleme ile çökmeleri önler.
Kırmızı Teamers, gelişmiş tehditleri simüle etmek için bu kodu kullanıyor:
- Kalıcılık: Anahtarları çalıştırmak için yazmak, başlangıçta kötü amaçlı yazılım yürütülmesini sağlar.
- Yapılandırma kurcalama: Amsienable kayıt defteri değerleri aracılığıyla AMSI gibi güvenlik özelliklerini devre dışı bırakma.
- Yük depolama: Tespitten kaçınmak için şifreli yüklerin belirsiz tuşlarda (örn. HKCU \ yazılımı) depolanması.
Mavi takımlar bu riskleri azaltabilir:
- İzleme: Sysmon (Olay Kimlikleri 12-14) gibi araçlar, özellikle otomatik start yollarında kayıt defteri değişikliklerini izler.
- İzin: Grup politikası aracılığıyla hassas anahtarlara yazma erişimini kısıtlama.
- Uç nokta tespiti: Boşaltma kurcalama koruması değişiklikleri veya anormal çalışma anahtarı yazar.
Bu gösteri etik testin öneminin altını çizmektedir. Araştırmacılar bu tür kodları yalnızca savunma stratejilerini geliştirmek için yetkili ortamlarda kullanarak vurgularlar.
Kayıt defteri manipülasyon tekniklerini anlamak, kuruluşların sistemleri gerçek dünya saldırılarına karşı sertleştirmelerine yardımcı olur.
Program, saldırganların Windows’un temel bileşenlerini nasıl kullandıklarını ve siber güvenlik çerçevelerindeki proaktif kayıt defteri izleme ve en az müstehcen erişim kontrolleri ihtiyacını vurguladığını örneklendiriyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin